Flashpoint: Троян Dridex использует новый метод обхода UAC

Олег Иванов 30 Января 2017 - 11:31

...

Flashpoint: Троян Dridex использует новый метод обхода UAC

Замеченная недавно кампания по распространению трояна Dridex эффективно использует новый метод обхода контроля учётных записей пользователей (User Account Control, UAC). Об этом предупреждают исследователи в области безопасности Flashpoint.

В появившейся недавно вредоносной кампании по распространению трояна Dridex был замечен новый метода обхода контроля учётных записей пользователей Windows. Этот метод примечателен тем, что в нем используется recdisc.exe - исполняемый файл восстановления диска в Windows. Также во вредоносной программе были замечены еще две особенности: загрузку вредоносного кода с помощью SPP.dll, использование svchost и spoolsrv для связи с командным центром (C&C-сервер).

Dridex в этой кампании распространяется как и раньше - через спам-письма с прилагаемыми документами Word, использующими вредоносные макросы, предназначенные для загрузки и выполнения вредоносного кода. После заражения, троянец перемещает себя из текущего местоположения в папку %TEMP%.

«После того как Dridex укрепился в системе, он пытается всеми доступными способами получить от пользователя информацию для доступа к банк-клиентам. Причем авторы трояна способны создать диалоговое окно запроса, пытаясь сделать его максимально похожим на отправленный банком запрос» - объясняет аналитик Flashpoint Витали Кремец (Vitali Kremez).

Троян использует утилиту для восстановления диска recdisc.exe для загрузки подмененной библиотеки SPP.dll, такими образом он обходит защиту UAC. Это происходит потому что операционная система отправляет эту программу в белый список для автоматической загрузки.

Алгоритм действий Dridex выглядит так:

Создает папку Windows\System32\6886
Копирует легитимный файл Windows\System32\recdisc.exe в эту папку
Копирует себя в %APPDATA%\Local\Temp как tmp-файл
Перемещает себя в Windows\System32\6886\SPP.dll
Удаляет файлы из папки Windows\System32 по следующим маскам: wu*.exe и po*.dll
Запускает recdisc.exe и запускает свою копию SPP.dll с правами администратора

Эксперты также определили, что вредонос взаимодействует по сети через 4431-4433 порты.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 15 Сентября 2025 - 13:46

Соответствие законодательству РФ Общее

Минцифры РФ готовит список юрлиц, которым разрешено проводить обзвоны

Блокировка массовых звонков в России в соответствии с новым законодательством затруднила работу легитимных организаций. Для решения проблемы Минцифры решило составить список юрлиц, которым для обзвона не требуется согласие абонентов.

Недавно вступившие в силу поправки к российским законам были приняты в рамках борьбы с телефонным мошенничеством и обязывают операторов связи маркировать звонки от компаний и ИП, а также блокировать такие вызовы на основании запретов, выставленных клиентами.

В результате многие поставщики услуг, в том числе из сферы финансов, столкнулись с ограничениями по связи с клиентами. Проблемы возникли и у исследовательских организаций.

Социологи из ВЦИОМ и «Группы 7/89» (в ассоциацию входят 46 исследовательских организаций из 30+ городов) даже составили петицию президенту России, указав, что новые нормы ставят под угрозу их работу, важнейшая часть которой — опросы населения по телефону.

Как выяснили «Ведомости», в настоящее время из-под блокировки выведен госсектор. Для остальных заинтересованных лиц Минцифры составит белый список — после согласования с соответствующими федеральными органами исполнительной власти.

К сожалению, в обновленном законе «О связи» определение «массовые звонки» отсутствует, поэтому операторы принимают решения о блокировке по показаниям своих антифрод-систем.

Основанием для законного обзвона может стать договор инициатора с оператором связи, а также явно выраженное согласие абонентов.